СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Артем
8 апреля
#ИБ

Lumen: киберпреступники проникают все глубже в сети, скрываясь в периферийной инфраструктуре

Lumen: киберпреступники проникают все глубже в сети, скрываясь в периферийной инфраструктуре

Изображение: recraft

Хакеры меняют тактику — теперь они метят не в компьютеры сотрудников, а в маршрутизаторы, VPN-шлюзы и другие элементы сетевой периферии, где защита традиционно хромает. Об этом говорится в отчёте Lumen Threatscape за 2026 год. Там же отмечается, что генеративные ИИ-инструменты помогают преступникам быстрее клепать и адаптировать вредоносные инструменты.

Логика проста. Пока компании вкладывались в защиту конечных устройств, периферия оставалась в слепой зоне. К 2025 году EDR-решения развернули около 91% организаций, и они покрывали в среднем 72% устройств — неплохой результат. Но маршрутизаторы, файрволы и VPN-инфраструктура так и остались без должного внимания. Атакующие это заметили и переориентировались.

Маршрут к такому положению дел прослеживается чётко. В 2022 году больше 80% взломов веб-сервисов шли через подбор паролей и кражу учёток. В апреле 2023-го Microsoft зафиксировала пик — до 11 тысяч попыток ввода паролей в секунду. Этот поток подтолкнул рынок к массовому внедрению средств защиты на конечных устройствах. Пока все смотрели туда, периферия осталась без присмотра.

Прокси-сети при этом превратились в универсальный каркас для атак — они прячут активность и позволяют масштабировать операции. Получив доступ к периферийному устройству, злоумышленники закрепляются там надолго и могут возвращаться через дни и месяцы. Это ломает расследование — отдельные эпизоды не складываются в единую картину, и понять, что происходит, крайне сложно. Крис Киссел из IDC прямо говорит, что разведка угроз должна работать на опережение и ловить противника как можно ближе к источнику активности.

Конкретные операции подтверждают масштаб проблемы. Кампания J-magic стартовала в середине 2023 года и работала минимум до середины 2024-го. За полгода — с марта по сентябрь 2024-го — аналитики выловили 36 уникальных IP-адресов с характерной сигнатурой. Это меньше 0,01% от всего объёма NetFlow-данных, то есть операция была почти невидимой. Примерно половина целевых устройств выполняла функции VPN-шлюзов.

Операция Secret Blizzard шла дольше и глубже. С декабря 2022 по ноябрь 2024 года атакующие пробрались в 33 узла управления и контроля, связанных с инфраструктурой Storm-0156. Позже аналитики насчитали уже 37 таких узлов — сеть планомерно расширялась.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: